Aizmugures durvju programmaparatūra atrasta miljoniem datoru mātesplatēs
Kibernoziedznieki arvien biežāk izmanto viltīgu taktiku, slēpjot ļaunprātīgas programmas datora UEFI programmaparatūrā — pamatkodā, kas ir atbildīgs par operētājsistēmas palaišanu. Tomēr situācija kļūst vēl satraucošāka, ja mātesplates ražotājs ne tikai iekļauj savas slēptās aizmugures durvis miljoniem datoru programmaparatūrā, bet arī nespēj pareizi nodrošināt šo ieeju.
Nesen kiberdrošības pētnieku komanda, kas specializējas programmaparatūrā, ir atklājusi slēptu mehānismu, kas ir iegults mātesplates programmaparatūrā, ko ražojis Gigabyte, slavens Taivānas uzņēmums, ko plaši izmanto spēļu personālajos datoros un augstas veiktspējas datoros. Restartējot datoru ar ietekmēto Gigabyte mātesplati, programmaparatūras slēptais kods diskrēti aktivizē atjaunināšanas programmu datorā. Pēc tam šī programma lejupielādē un izpilda citu programmatūras daļu bez lietotāja ziņas vai piekrišanas.
Satura rādītājs
Nodomi labi, īstenošana nav tik daudz
Lai gan Gigabyte mātesplates programmaparatūrā atklātais slēptais kods, domājams, bija paredzēts kā nekaitīgs programmaparatūras atjaunināšanas rīks, pētnieki ir atklājuši būtiskas drošības nepilnības tā ieviešanā. Šīs ievainojamības rada potenciālu risku, ka ļaunprātīgi dalībnieki izmantos mehānismu, kas varētu to izmantot, lai instalētu ļaunprātīgu programmatūru, nevis paredzēto Gigabyte programmu.
Problēmu sarežģī fakts, ka atjauninātāja programma tiek palaista no datora programmaparatūras, kas darbojas ārpus lietotāja operētājsistēmas. Tas lietotājiem padara neticami sarežģītu noteikt vai noņemt problemātisko kodu, vēl vairāk saasinot drošības ievainojamības iespējamo ietekmi.
Iesaistīti vairāk nekā 270 modeļi
Lai redzētu, vai jūsu datora mātesplatē ir attiecīgās aizmugures durvis, sistēmā Windows dodieties uz "Start" un piekļūstiet "Sistēmas informācijai".
Pētot uz programmaparatūru balstītu ļaunprātīgu kodu, pētnieki veica nozīmīgu atklājumu par Gigabyte slēpto programmaparatūras mehānismu. Šis atklājums ir īpaši ievērojams, jo sarežģīti hakeri bieži izmanto līdzīgu taktiku. Pārsteidzoši, pētnieku automatizētās noteikšanas skenēšana atzīmēja Gigabyte atjaunināšanas mehānismu, lai iesaistītos aizdomīgās darbībās, kas atgādina valsts sponsorētus hakeru rīkus. Konkrēti, tas ietvēra slēpšanos programmaparatūrā un klusu programmas izpildi, kas lejupielādē kodu no interneta.
Gigabyte atjaunināšanas mehānisms vien ir radījis bažas lietotājiem, kuri ir nobažījušies par klusu koda instalēšanas iespējām, izmantojot gandrīz nemanāmu rīku. Turklāt pastāv patiesas bažas, ka Gigabyte mehānisms varētu kļūt par upuri, ko izmanto hakeri, kas iefiltrējas mātesplates ražotāja vietnē, izmantojot tā slēpto piekļuvi ļauna programmatūras piegādes ķēdes uzbrukumam. Tomēr Eclypsium izmeklēšana atklāja vēl satraucošāku atklāsmi. Atjaunināšanas mehānisms, kas izstrādāts, lai uzlabotu lietotāju pieredzi, satur acīmredzamas ievainojamības, kuras var tikt ļaunprātīgi nolaupītas. Šokējoši, ka tas lejupielādē kodu lietotāja datorā, neveicot pienācīgu autentifikāciju, un dažos gadījumos pat izmanto nedrošu HTTP savienojumu, nevis drošāku HTTPS.
Šis atklātais drošības caurums ļauj ļaunprātīgiem dalībniekiem organizēt uzbrukumus starp cilvēkiem, ļaujot viņiem maldināt nenojaušos lietotājus, viltojot instalācijas avotu. Būtībā pat negodīgs Wi-Fi tīkls var kļūt par briesmu instrumentu, kas pārtver lietotāja interneta savienojumu un apdraud viņu sistēmas integritāti.
Citos gadījumos Gigabyte programmaparatūras mehānisms ļauj atjauninātājam ienest lejupielādes no lokālajam tīklam pievienotas atmiņas ierīces (NAS). Šī funkcija, kas šķietami paredzēta, lai atvieglotu atjaunināšanu biznesa tīklos, ļauj izvairīties no plašas piekļuves internetam visās iekārtās. Tomēr, kad tas notiek, ļaundabīgs dalībnieks tajā pašā tīklā var maldīgi manipulēt ar NAS atrašanās vietu, slepus aizstājot autorizētos atjauninājumus ar savu ļaunprātīgo programmatūru.
Labojums varētu darboties... vai ne?
Neraugoties uz Gigabyte potenciālajiem centieniem risināt programmaparatūras problēmu, programmaparatūras atjauninājumi bieži vien klusi tiek pārtraukti lietotāju iekārtās, jo process ir sarežģīts un ir sarežģīti saskaņot programmaparatūru ar aparatūru. Šī atklāsme ir ļoti satraucoša, ņemot vērā lielo ierīču skaitu, kuras varētu tikt ietekmētas. Lai gan Gigabyte, visticamāk, nebija ļaunprātīgu vai maldinošu nodomu ar savu slēpto programmaparatūras rīku, drošības ievainojamības slēptā kodā zem operētājsistēmas grauj lietotāju fundamentālo uzticību savām iekārtām.